收集 Thinkst Canary 日志
支持的语言:
Google SecOps
SIEM
此解析器通过清理换行符并尝试将消息解析为 JSON,来规范化 Thinkst Canary 软件中的原始日志消息。然后,根据特定字段(键值对格式为“Description”,JSON 为“summary”)的存在情况,确定日志格式,并从单独的配置文件中包含相应的解析逻辑,以将数据映射到统一的数据模型中。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例。
- 对 Thinkst Canary 的特权访问权限。
在 Thinkst Canary 中配置 REST API
- 登录 Thinkst Canary 管理控制台。
- 依次点击齿轮图标 > 全局设置。
- 点击 API。
- 点击启用 API。
- 点击 + 可添加 API。
- 为 API 指定一个描述性名称。
- 复制网域哈希和身份验证令牌。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称,例如 Thinkst Canary 日志。
- 选择第三方 API 作为来源类型。
- 选择 Thinkst Canary 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- 身份验证 HTTP 标头:之前以
auth_token:<TOKEN>格式生成的令牌(例如 auth_token:AAAABBBBCCCC111122223333)。 - API 主机名:Think Canary REST API 端点的 FQDN(完全限定域名),例如
myinstance.canary.tools。 - 资源命名空间:资源命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
- 身份验证 HTTP 标头:之前以
- 点击下一步。
- 在最终确定界面中检查 Feed 配置,然后点击提交。
UDM 映射
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定 |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| 已创建 | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| 数据 | ||
| 说明 | read_only_udm.metadata.product_event_type | 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定 |
| 说明 | read_only_udm.metadata.product_event_type | 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定 |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定 |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| 标头 | read_only_udm.security_result.about.resource.attribute.labels | |
| 主机 | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| 键 | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| 方法 | read_only_udm.network.http.method | |
| 模式 | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| PASSWORD | ||
| PATH | read_only_udm.target.url | |
| 端口 | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| 回答 | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| 设置 | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| STATUS | ||
| 摘要 | read_only_udm.metadata.product_event_type | 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定 |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| 时间戳 | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| 时间戳 | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| 类型 | ||
| 用户 | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| 用户名 | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - 硬编码值 | |
| read_only_udm.metadata.vendor_name | Thinkst - 硬编码的值 | |
| read_only_udm.metadata.product_name | Canary - 硬编码的值 | |
| read_only_udm.security_result.severity | 严重 - 硬编码的值 | |
| read_only_udm.network.application_protocol | 由端口和 product_event_type 确定 | |
| read_only_udm.extensions.auth.mechanism | 由相应事件中使用的身份验证方法决定 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。